Записки админа
9.83K subscribers
243 photos
22 videos
169 files
1.72K links
Пишу о Linux и администрировании серверов.

Связаться с автором: @servers

Заметки в браузере: https://sysadmin.pm/
Download Telegram
🔐 git-crypt - transparent file encryption in git - шифрование файлов перед отправкой в git и из расшифровка при закачке из репозитория.

Не то что бы согласен со всеми суждениями автора - попытка в одном репозитории хранить и зашифрованные секреты и публичные данные выглядит странно сама по себе, но вдруг кому-то такой подход и инструмент покажутся интересными и полезными в работе.

Подробнее: https://www.agwa.name/projects/git-crypt/
Github: https://github.com/AGWA/git-crypt

#git #security #encrypt
🛠 Тут для OWASP ModSecurity Core Rule Set запустилась интересная песочница - можно делать к ней запросы и проверять, будут ли они отфильтрованы каким-то правилом из рулсета. Например:

# curl -H "x-format-output: txt-matched-rules-extended" "https://sandbox.coreruleset.org/?search=/etc/passwd"

# curl -H "x-format-output: txt-matched-rules-extended" "https://sandbox.coreruleset.org/?search=../../../../../../"

Подробнее об этом в отдельном посте - Introducing the CRS Sandbox.

#modsecurity #security #owasp
🛠 SSH agent restriction - в OpenSSH 8.9 появится возможность дополнительно контролировать как и где ключи могут быть использованы.

#ssh #security #напочитать
🔧 PHP 7.3-8.1 disable_functions bypass. Собственно, из названия понятно о чём идёт речь. Автор утверждает, что это работает на всех версиях PHP от 7.3 до 8.1 на сегодняшний день.

#php #security
🔓 Утро начнём с привета пользователям Control Web Panel (CWP) - похоже что самое время бежать и обновляться (на самом деле ещё три дня назад стоило это сделать), потому что CVE-2021-45467 и CVE-2021-45466 на сервере оставлять нельзя.

#cwp #security
👾 Qualys Security Advisory. pwnkit: Local Privilege Escalation in polkit's pkexec (CVE-2021-4034).

https://www.openwall.com/lists/oss-security/2022/01/25/11

This vulnerability is an attacker's dream come true:

- pkexec is installed by default on all major Linux distributions (we exploited Ubuntu, Debian, Fedora, CentOS, and other distributions are probably also exploitable);
- pkexec is vulnerable since its creation, in May 2009 (commit c8c3d83, "Add a pkexec(1) command"); - any unprivileged local user can exploit this vulnerability to obtain full root privileges;
- although this vulnerability is technically a memory corruption, it is exploitable instantly, reliably, in an architecture-independent way;
- and it is exploitable even if the polkit daemon itself is not running.

We will not publish our exploit immediately; however, please note that this vulnerability is trivially exploitable, and other researchers might
publish their exploits shortly after the patches are available. If no patches are available for your operating system, you can remove the SUID-bit from pkexec as a temporary mitigation; for example:

# chmod 0755 /usr/bin/pkexec

Ну какова красота.

#security #pkexec #polkit
CTR_NSA_NETWORK_INFRASTRUCTURE_SECURITY_GUIDANCE_20220301.PDF
906.6 KB
🔐 National Security Agency. Cybersecurity Technical Report.
Network Infrastructure Security Guidance. March 2022.

#network #security
CTR_Kubernetes_Hardening_Guidance_1.1_20220315.PDF
1.8 MB
Cybersecurity and Infrastructure Security Agency. Cybersecurity Technical Report. Kubernetes Hardening Guide. March 2022.

#kubernetes #security
wp-linux-endpoint-hardening.pdf
402.7 KB
🐧 Linux Endpoint Hardening to Protect Against Malware and Destructive Attacks. Местами очевидно, но вдруг кому-то окажется полезным.

#security #напочитать #linux
🔩 Ещё одна попытка создать песочницу для запуска чего угодно: https://github.com/containers/bubblewrap #sandbox #security #namespaces
🔐 The ultimate guide to Full Disk Encryption with TPM and Secure Boot - полнодисковое шифрование, с ключами, которые хранятся в TPM. Описано хорошо, пошагово и с пояснениями.

#security #напочитать #luks
🗜 На случай, если вам так же не спится как и мне, можете почитать, например, про то, как формируется и начисляется CVSS рейтинг - Are vulnerability scores misleading you? Understanding CVSS severity and using them effectively.

#security #cve #напочитать
Записки админа
CTR_Kubernetes_Hardening_Guidance_1.1_20220315.PDF
🔐 “NSA/CISA Kubernetes Security Hardening Guide” and Beyond for 2022 - автор сделал саммари самого документа и дополнил некоторыми рекомендациями со своей стороны. #kubernetes #security #напочитать
🔐 Sudo for blue teams: how to control and log better - ещё некоторое количество полезностей для работы с sudo. #security #sudo #напочитать
🔩 Primer to Container Security - очень базово (прям совсем для начинающих, да), об организации секурити при работе с контейнерами. #containers #security #напочитать
📺 Positive Hack Days Russian 2022 - в плейлисте доступно уже 147 роликов на данный момент. Хватит на все выходные, и даже больше. #phd #видео #security
When eBPF meets TLS.pdf
1.5 MB
🔩 When eBPF meets TLS! A Security Focused Introduction to eBPF

#ebpf #security
🔐 Remote reboots with encrypted disks - про полнодисковое шифрование на сервере и разблокировку дисков через соединение по SSH.

#luks #security #напочитать